جديد:الحل النهائي لفيروس Perlovga وNoooH الفيروسات المزعجة و الاكثر انتشارا في العالم
فايروس Perlovga
( وملفات هذا الفايروس هي : temp1.exe و temp2.exe و svchost.exe و xcopy.exe و autorun.inf و copy.exe و host.exe )
وفيروس NoooH
****************************************
السلام عليكم ورحمة الله وبركاته
تحياتي إلى جميع أعضاء ومشرفي هذا المنتدى وزواره الكرام
أتيت لكم اليوم بحل جذري للفيروس الذي لطالما أزعجنا جميعا وهو الاكثر انتشارا في العالم والذي دائما يجعلنا نفرمت الكمبيوتر وأيضا يقوم بتعطيل برامج الحماية وأيضا تعطيل محرر تسجيل النظام Registry Editor وأيضا تعطيل الأداة Msconfig و فيروس autorun.inf هذا الفيروس الذي لا يتح لك أن تفتح المجلد بدبل كليك ولا يسمح لك أن تفتح المجلد إلا عن طريقopen وهو الذي يقوم باخفاء Folder option ولا يسمح لك بمشاهدة الملفات المخفية ويعمل على ابطاء النظام ويوجد فيروس يسمى NOOOH سنقوم بالقضاء عليه وهذا الفيروس يقوم ببعض مايقوم به Perlovga
ويوجد طريقتين لحل هذه المشكلة:
الأولى:عن طريق الدوس:
وهي نسخ الكود في الدوس ومن ثم سينفذ تلقائيا
الكود:
كود:
@echo off
cd\
taskkill /f /im temp1.exe
taskkill /f /im temp2.exe
del /a/f/q %systemroot%\system32\temp?.exe %systemroot%\svchost.exe %systemroot%\xcopy.exe %systemroot%\autorun.inf >nul 2>&1
del /a/f/q c:\autorun.inf c:\copy.exe c:\host.exe >nul 2>&1
del /a/f/q d:\autorun.inf d:\copy.exe d:\host.exe >nul 2>&1
del /a/f/q e:\autorun.inf e:\copy.exe e:\host.exe >nul 2>&1
del /a/f/q f:\autorun.inf f:\copy.exe f:\host.exe >nul 2>&1
del /a/f/q g:\autorun.inf g:\copy.exe g:\host.exe >nul 2>&1
del /a/f/q h:\autorun.inf h:\copy.exe h:\host.exe >nul 2>&1
del /a/f/q i:\autorun.inf i:\copy.exe i:\host.exe >nul 2>&1
del /a/f/q j:\autorun.inf j:\copy.exe j:\host.exe >nul 2>&1
del /a/f/q k:\autorun.inf k:\copy.exe k:\host.exe >nul 2>&1
del /a/f/q l:\autorun.inf l:\copy.exe l:\host.exe >nul 2>&1
del /a/f/q m:\autorun.inf m:\copy.exe m:\host.exe >nul 2>&1
del /a/f/q n:\autorun.inf n:\copy.exe n:\host.exe >nul 2>&1
EXIT
انسخ الكود الذي في الاعلى كما في الصورة التالية:
وهكذا تم تنفيذ اوامر الدوس بنجاح
طريقة عمل ملفات الدفع Batch Files
ملفات بامتداد BAT
والفائده هو عمل الطريقه السابقه وحفظها بملف في السي حتى يتمكن الويندوز من استخدامها باي وقت أي كملف دفاع
الكود:
كود:
@echo off
cd\
taskkill /f /im temp1.exe
taskkill /f /im temp2.exe
del /a/f/q %systemroot%\system32\temp?.exe %systemroot%\svchost.exe %systemroot%\xcopy.exe %systemroot%\autorun.inf >nul 2>&1
del /a/f/q c:\autorun.inf c:\copy.exe c:\host.exe >nul 2>&1
del /a/f/q d:\autorun.inf d:\copy.exe d:\host.exe >nul 2>&1
del /a/f/q e:\autorun.inf e:\copy.exe e:\host.exe >nul 2>&1
del /a/f/q f:\autorun.inf f:\copy.exe f:\host.exe >nul 2>&1
del /a/f/q g:\autorun.inf g:\copy.exe g:\host.exe >nul 2>&1
del /a/f/q h:\autorun.inf h:\copy.exe h:\host.exe >nul 2>&1
del /a/f/q i:\autorun.inf i:\copy.exe i:\host.exe >nul 2>&1
del /a/f/q j:\autorun.inf j:\copy.exe j:\host.exe >nul 2>&1
del /a/f/q k:\autorun.inf k:\copy.exe k:\host.exe >nul 2>&1
del /a/f/q l:\autorun.inf l:\copy.exe l:\host.exe >nul 2>&1
del /a/f/q m:\autorun.inf m:\copy.exe m:\host.exe >nul 2>&1
del /a/f/q n:\autorun.inf n:\copy.exe n:\host.exe >nul 2>&1
EXIT
الان افتح برنامج المفكره للويندوز Notepad وتابع كما في الصورة
وهكذا لدينا ملف باسم del.bat وعند تشغيله بشكل تلقائي يفتح شاشة الدوس وينفذ اوامر الحذف للفايروس Perlovga
طريقة عمل ملفات مسجل النظام Reg Files ملفات بامتداد REG
وهنا سوف نستخدم كود فك القفل
لـ (( مدير المهام / محرر مسجل النظام/Msconfig/خيارات سطح المكتب / قوائم الانترنت اكسبلورر/Folder option ))
الكود:
كود:
Windows Registry Editor Version 5.00
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableRegistryTools"=dword:00000000
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableRegistryTools"=dword:00000000
بعدها افتح برنامج المفكره للويندوز Notepad وتابع كما في الصورة
وقم بعمل نفس الطريقة السابقة للأكواد التالية
كود فك قفل خيارات المجلد Folder Option
هذه الاكواد التاليه تحفظ بامتداد REG
الكود:
كود:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"=dword:0000000
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
"NoBrowserOptions"=dword:00000000
كود الـ Shell الافتراضي (( اغلب الفيروسات والباتشات تقوم بتغييره ))
فايروس NoooH بعد ما يدخل جهازك يكون مختبىء في كل الاقرص على هذا الامتداد
E:\Sys و Autorun
وا ايضا في جميع الاقراص فبعد تشغيل الويندوز ينفتح تلقائيا وتظهر لك الشاشة بغيضة
باسم NoooH ويكون مكتوب فيها لقد تم ايقاف مدير الملفات من قبل المدير اولا يجعلك تدخل الا عن طريق open اي يلغي Double click
خطوات التخلص من هذا الفيروس:
1 _ شغل الجهاز وادخل مباشر ة بالوضع الامن وذلك بالضغط على زر F8 او F5 او احد الازرار الاخرى وستظهر لك شاشة واختار منها Safe Mode
2 _ بعد دخولك الوضع الامن لاتقم بفتح اي قرص من اقراص الكمبيوتر C or D وقم بالدخول على خيارات المجلد ويليها عرض وبعدها قم بازالة الصح من المربع الي مكتوب بجانبه اخفاء رموز النظام المخفية (مستحسن ) ستظهر بعدها شاشة صغير اضغط موافق وبعدين تطبيق وم ثم موافق وبعدين غلق خيارات المجلد
3_ الان روح الى القرص المحلي C ولاتنقر بالماوس نقرتين وانما اضغط بالزر الايمن خيارات ومن ثم فتح وستجد عدة ملفات قم بمسح ملف باسم Sys وايضا ملف اخر باسم Autorun ولاتمسح اي ملف اخر وبعدها قم بالدخول الى هذا الامتداد C:\WINDOWS\Web ستجد ملف Sys قم بمسحه والان توجه الى باقي الاقراص الاخرى وقم بمسح الملفين Sys و Autorun من جميع الاقراص ملاحظة مهمة (لاتقم بالنقر مرتين )) خيارات ومن ثم فتح
ومن ثم اضغط على القائمة ابدا ومن ثم تشغيل (run ) وبعدها اكتب الاتي gpedit.msc
وسيتم ادخالك الى جروب بوليسي وبعد اختر الاتي بالترتيب
اعدادات المستخدم User config قوالب ادارية administrative templates نظام System والان رح تحصل قائمة كثير اختر الخيار الي مكتوب فيه Ctrl +Alt+Del options ورح تدخل قائمة جديدة اربع خيارات اختار على وحدة وحدة وختار خصائص واضغط تعطيل الى ان تكمل الكل وبعدين اخرج ستجد ملف تحت باسم prevent access to registry editing tools واضغط خصائص وبعدين تعطيل
وقم بعدها باعادة تشغيل الجهاز وهكذ تكون قد ازلت هذا الفايروس
او يمكن ان تتخلص منه عن طريق برنامج NoooH Fix
تجده في المرفقات
او استخدم الادوات التالية:
مضافة من قبل العضو الكريم osama_b
RRT - Remove Restrictions Tool
وهذه الاداة تقوم بتفعيل كل ما قم الفايروس بتعطيله مثل:
1-تعطيل (Ctrl+Alt+Del) وذلك لكي يمنع الفايروس المستخدم من عرض العمليات والبرامج التي تعمل في الخلفية (الفايروس يعمل عادة في الخلفية) 2 - تعطيل (خيارات المجلد) وذلك لكي يمنع الفايروس المسخدم من إظهار الملفات المخفية (الفايروس عادة يكون مخفياً) 3 - تعطيل الوصول إلى أدوات التسجيل (Regedit) وذلك كي يمنع الفايروس المستخدم من معرفة مالذي يجري عند الإقلاع (الفايروس يعمل عادة عند الإقلاع)
ولتحميلها تجدها في المرفقات
الاداة الثانية:
CaSIR v1.0 Common And Stubborn Infections Remover
برنامج كاسر - مزيل الفايروسات الشائعة والعنيدة
يعني اختصار (CaSIs) المعديات الشائعة والعنيدة، وهي البرامج الخبيثة (فايروسات، دود، أحصنة طروادة...) المنتشرة هذه الأيام وحتى اللحظة الراهنة، والتي تغزو جهازك فتسيطر عليه تماما ولا يمكن إزالتها ببرامج مكافحة الفايروسات العالمية!
أحد أمثلة هذه المعديات دودة الانترنت الشهيرة : برونتوك.كيو Email-Worm.Win32.Brontok.q
إذا لم تكن تستخدم برنامج مضاد للفايروسات قوي قبل الإصابة، أو كان برنامجك غير محدث وأصابك أحد هذه المعديات، فلا شي يمكن له أن ينقذك من براثن هذه المعديات ما دمت تحاول القضاء عليها بالطرق العادية، لا شيء ولا حتى برنامج مكافحة الفايروسات القوي الذي تستخدمه (كاسبرسكي، مكافي، نورتون، نود32...) حتى وإن حدثت برنامجك إلى آخر تحديث متوفر! فهذه المعديات مصممة ببراعة بحيث يستحيل إزالتها من جهازك أثناء تشغيل ويندوز (سواء في الوضع العادي أو الآمن) إلا بطرق معقدة ويدوية مرهقة ومن قبل متخصصين!
يقوم هذا البرنامج بما يلي :
1 – يزيل أية قيود عامة تطبقها هذه المعديات على استخدام النظام حتى تاريخه. 2 – يزيل الخدمات النظامية غير الشرعية والتي تستخدم بكثرة بواسطة هذه المعديات للتخفي. 3 – يتعرف كاسر على أية خدمة غير شرعية وفعالة ومتخفية بين خدمات النظام ويقوم بإنهائها وحذفها فوراً. 4 – يقوم بإزالة السكربتات المشبوهة والتي تستخدم بواسطة الفايروسات للبدء التلقائي. 5 – يقوم بالتعامل مع كافة وسائط التخزين المعروفة (ثابتة-قابلة للنزع-مرنة...) مهما بلغ عددها بجهازك. 6 – يقوم بتنظيف سجل النظام بحيث يزيل أية مخلفات تتركها المعديات وراءها. 7 – تواقيع المعديات التي يستهدفها البرنامج قابلة للتحديث بالكامل، فبمجرد استخدامك له كل ما تحتاج إليه هو تنزيل ملف التحديث بين حين وآخر
جديد:الحل النهائي لفيروس Perlovga وNoooH الفيروسات المزعجة و الاكثر انتشارا في العالم 
